当用户不在 Active Directory 中时,我从 Outlook 客户端登录 CRM 时遇到挑战。
我们的一些 CRM 用户没有 Active Directory 凭据。相反,他们使用 LDAP 凭据登录 IBM Websphere 环境。我们已为 IFD 配置了 CRM,并部署了 Shibboleth Idp 作为这些用户的 ADFS/CRM 身份提供者。这些用户到 CRM 的 Web 单点登录(被动联合)运行良好。
但是,CRM 的 Outlook 客户端使用 ws-trust(主动联合)进行身份验证,而不是像浏览器那样使用被动联合。不幸的是,Shibboleth Idp 不支持 ws-trust,因此我需要不同的 ws-trust 安全令牌服务 (STS),以使我们的 LDAP 用户能够使用 Outlook 客户端。
我测试了几个不同的 ws-trust STS 服务器(OpenAM、Thinktecture Identity Server V2.0),但无济于事。有关 CRM 的基于声明的身份验证的所有文档似乎都围绕着 Web 单点登录,并没有解决与 Outlook 客户端的主动联合问题。我设法收集到的有关此问题的唯一信息是在 HKLM\SOFTWARE\Policies\Microsof\MSCRMClient 键中指定 HomeRealmUrl 注册表设置。提到这一点的大多数博客/论坛似乎都是指从面向 Active Directory 的另一个 ADFS 服务器指定主动联合端点。我发现似乎没有一个集成了非 ADFS ws-trust STS。
我曾尝试指定 HomeRealmUrl 值,但没有任何关于 Outlook 客户端期望从 STS 获得的绑定类型的文档,因此充其量只能是碰运气。
是否有人成功部署了 CRM IFD,其中来自非活动目录 ADFS 声明提供商的用户可以登录 CRM Outlook 客户端? 如果是这样:
- 您使用了哪种 STS 或者您自己构建了一个?
- 您对 STS 使用了哪些绑定?
- 除了将 STS 注册为声明提供商之外,您是否需要任何特殊的 ADFS 配置?